Data Protection Review Court

Der Data Protection Review Court (deutsch Gericht zur Datenschutzüberprüfung, Abk. DPRC) ist eine im Oktober 2022 durch eine Executive Order des US-Präsidenten Joe Biden geschaffene Institution im Rahmen des Datenschutzrahmen EU-USA (EU–U.S. Data Privacy Framework). Das Gremium dient als zweite Ebene eines zweistufigen Rechtsbehelfsmechanismus, der es europäischen Bürgern ermöglichen soll, Beschwerden über den Zugriff US-amerikanischer Nachrichtendienste auf ihre personenbezogenen Daten in den Vereinigten Staaten (USA) prüfen zu lassen.^[1]

Das Data Protection Review Court ist kein Gericht im klassisch-justiziellen Sinne, sondern eine vom Justizministerium der Vereinigten Staaten administrativ angesiedelte Instanz.^[2]

Hintergrund

Im Juli 2020 erklärte der Europäische Gerichtshof (EuGH) mit dem sogenannten Schrems II-Urteil das bestehende Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig. Hauptgründe waren die umfangreichen Befugnisse US-amerikanischer Nachrichtendienste zum Massendatenzugriff und das Fehlen wirksamer Rechtsbehelfe für EU-Bürger gegen solche Überwachungsmaßnahmen. Bereits 2015 war der Vorgänger Safe Harbor aus ähnlichen Gründen gekippt worden.

Die Europäische Kommission und die US-Regierung nahmen daraufhin diplomatische Verhandlungen auf. Im März 2022 kündigten EU-Kommissionspräsidentin Ursula von der Leyen und Präsident Biden das EU–U.S. Data Privacy Framework als dritten Datenschutz-Pakt an. Als Umsetzung dieser Vereinbarung erließ Präsident Biden am 7. Oktober 2022 die Executive Order 14086 („Enhancing Safeguards for United States Signals Intelligence Activities“), die neue verbindliche Datenschutzauflagen für US-Nachrichtendienste festschreibt. Am selben Tag erließ Justizminister Merrick Garland eine Verordnung, die unter anderem das Data Protection Review Court als unabhängige Prüfinstanz einsetzte.

Struktur

Das DPRC wird personell von mindestens sechs Richtern besetzt, die vom US-Justizminister in Absprache mit dem Handelsministerium der Vereinigten Staaten, dem Direktor der nationalen Nachrichtendienste und dem Privacy and Civil Liberties Oversight Board (PCLOB) ernannt werden. Die Verfahrensweise des DPRC orientiert sich an geheimdienstlichen Kontrollinstanzen: Beschwerden werden in geheimen Verfahren behandelt (classified proceedings), da oft vertrauliche Informationen über nachrichtendienstliche Operationen berührt sind. Die europäische Beschwerdeführerin oder der Beschwerdeführer tritt nicht persönlich vor dem DPRC auf, sondern wird in jedem Verfahren durch einen unabhängigen Sonderanwalt (Special Advocate) vertreten, der vom Gericht aus einem zuvor ernannten Pool ausgewählt wird.^[3]

Kritik und rechtliche Fragilität

Europäische Datenschützer bezeichnen die Konstruktion als rechtlich fragil: Da das DPRC lediglich durch eine präsidiale Anordnung und eine nachgeordnete Behördenvorschrift geschaffen wurde, könnte es von einem zukünftigen US-Präsidenten oder US-Justizminister jederzeit mit einfachem Beschluss abgeändert oder abgeschafft werden.^[4] Das Europäische Parlament wies in einer Entschließung im Mai 2023 auf die fehlende institutionelle Unabhängigkeit hin.^[5]

Darüber hinaus wird die praktische Wirksamkeit des Rechtsbehelfsverfahrens hinterfragt. Kritiker betonen, dass europäische Bürger kaum feststellen können, ob sie vom US-Geheimdienst überwacht wurden, und daher nur in den seltensten Fällen überhaupt eine Beschwerde einlegen werden. Selbst im Falle einer Beschwerde bleibt der Prozess für die Betroffenen intransparent: Die Verfahren finden unter Ausschluss der Öffentlichkeit statt und die Entscheidungen des DPRC werden weder den Beschwerdeführern selbst noch den betroffenen US-Behörden in voller Form mitgeteilt.^[6]

Einzelnachweise

↑ EU US Data Privacy Framework. Unabhängiges Datenschutzzentrum Saarland, abgerufen am 2. Juni 2025.
↑ The redress mechanism in the Privacy Shield successor: On the independence and effective powers of the DPRC. International Association of Privacy Professionals, abgerufen am 2. Juni 2025 (englisch).
↑ Data Protection Review Court. Federal Register, abgerufen am 2. Juni 2025 (englisch).
↑ New US executive order unlikey satisfy EU law. NOYB – European Center for Digital Rights, abgerufen am 2. Juni 2025 (englisch).
↑ Entschließung des Europäischen Parlaments vom 11. Mai 2023 zur Angemessenheit des vom Datenschutzrahmen zwischen der EU und den USA gebotenen Schutzes (2023/2501(RSP)). Europäisches Parlament, abgerufen am 2. Juni 2025.
↑ Alfred Ng and John Sakellariadis: Inside Biden’s secret surveillance court. Politico, abgerufen am 2. Juni 2025 (englisch).

[1] EU US Data Privacy Framework. Unabhängiges Datenschutzzentrum Saarland, abgerufen am 2. Juni 2025.

[2] The redress mechanism in the Privacy Shield successor: On the independence and effective powers of the DPRC. International Association of Privacy Professionals, abgerufen am 2. Juni 2025 (englisch).

[3] Data Protection Review Court. Federal Register, abgerufen am 2. Juni 2025 (englisch).

[4] New US executive order unlikey satisfy EU law. NOYB – European Center for Digital Rights, abgerufen am 2. Juni 2025 (englisch).

[5] Entschließung des Europäischen Parlaments vom 11. Mai 2023 zur Angemessenheit des vom Datenschutzrahmen zwischen der EU und den USA gebotenen Schutzes (2023/2501(RSP)). Europäisches Parlament, abgerufen am 2. Juni 2025.

[6] Alfred Ng and John Sakellariadis: Inside Biden’s secret surveillance court. Politico, abgerufen am 2. Juni 2025 (englisch).

[1]

[2]

[3]

[4]

[5]

[6]